您的位置: 首頁 >科技 >

電訊盈科的云服務(wù)需要了解什么是加密

2020-04-22 16:46:07 編輯: 來源:
導(dǎo)讀 網(wǎng)絡(luò)功能虛擬化(NFV)時(shí)代的一個(gè)主要干擾因素是電信云服務(wù)的擴(kuò)展。 基于云的服務(wù)提供了巨大的好處,如可伸縮性、成本性能、中心和易于管理。 然而,這些服務(wù)是使用共享資源的集中信息存儲庫,這使得它們成為攻擊者的主要目標(biāo)。 這些共享資源包括計(jì)算或云存儲服務(wù)器,單個(gè)服務(wù)器中的漏洞可能導(dǎo)致完整的信息泄漏和妥協(xié)。 因此,安全行業(yè)專家正在探索防火墻和加密等技術(shù),以保護(hù)云服務(wù)和平臺。 隨著越來越多的電信云服務(wù)

網(wǎng)絡(luò)功能虛擬化(NFV)時(shí)代的一個(gè)主要干擾因素是電信云服務(wù)的擴(kuò)展。 基于云的服務(wù)提供了巨大的好處,如可伸縮性、成本性能、中心和易于管理。 然而,這些服務(wù)是使用共享資源的集中信息存儲庫,這使得它們成為攻擊者的主要目標(biāo)。

這些共享資源包括計(jì)算或云存儲服務(wù)器,單個(gè)服務(wù)器中的漏洞可能導(dǎo)致完整的信息泄漏和妥協(xié)。 因此,安全行業(yè)專家正在探索防火墻和加密等技術(shù),以保護(hù)云服務(wù)和平臺。 隨著越來越多的電信云服務(wù)實(shí)現(xiàn)這些技術(shù),了解當(dāng)前的選項(xiàng)是很重要的。

加密使用密碼密鑰將明文(也稱為人類可讀數(shù)據(jù))轉(zhuǎn)換為不可讀文本。 同樣,加密數(shù)據(jù)的解密需要一個(gè)各自的密碼密鑰將其轉(zhuǎn)換為其原始形式。 數(shù)據(jù)加密保證了數(shù)據(jù)的安全性和完整性.. 沒有密鑰,數(shù)據(jù)不能被攻擊者或未經(jīng)授權(quán)的用戶解密,除非密鑰已經(jīng)被破壞。 加密可以應(yīng)用于兩種類型的數(shù)據(jù):在運(yùn)輸中和在休息時(shí)。

過境數(shù)據(jù)包括跨越互聯(lián)網(wǎng)和系統(tǒng)接口的數(shù)據(jù),這些數(shù)據(jù)可以是系統(tǒng)外部的,也可以是服務(wù)器和軟件應(yīng)用程序編程接口(API)之間的內(nèi)部數(shù)據(jù)。 它可以使用HTTPS、TLS、IPSec等加密,這對于防止未經(jīng)授權(quán)的用戶攔截至關(guān)重要。

數(shù)據(jù)在REST也意味著數(shù)據(jù)在存儲,包括存儲節(jié)點(diǎn)和可移動(dòng)存儲介質(zhì)。 數(shù)據(jù)在REST加密可以應(yīng)用到特定的數(shù)據(jù)文件或所有存儲的數(shù)據(jù).. 端到端加密是對數(shù)據(jù)進(jìn)行加密的一種手段,因此它只能在端點(diǎn)處解密。 在傳輸過程中通過加密數(shù)據(jù)對云服務(wù)進(jìn)行接口,可以消除服務(wù)器訪問的可能性,而不需要適當(dāng)?shù)拿荑€-只有發(fā)送方和接收方可以通過這些接口解密消息。

加密也可以應(yīng)用于云系統(tǒng),以啟用授權(quán)用戶訪問,以及用于外部接口上的系統(tǒng)訪問,并保護(hù)存儲在云系統(tǒng)上的敏感數(shù)據(jù)。 沒有密碼密鑰,丟失或被盜數(shù)據(jù)無法訪問。

加密的服務(wù)器數(shù)據(jù)也使攻擊者在休息時(shí)訪問數(shù)據(jù)的機(jī)會(huì)最小化。 即使他們訪問了加密的服務(wù)器數(shù)據(jù),攻擊者也無法“讀取”數(shù)據(jù)或破壞它,而沒有密鑰來解密它。 因此,在靜止?fàn)顟B(tài)下加密數(shù)據(jù)是穩(wěn)健云數(shù)據(jù)安全的關(guān)鍵要素。

一種專門設(shè)計(jì)用于保護(hù)密碼密鑰生命周期的專用密碼處理器,硬件安全模塊(HSM)保護(hù)和管理數(shù)字密鑰以進(jìn)行強(qiáng)身份驗(yàn)證,并提供密碼處理。

傳統(tǒng)上,HSMS要么是插件卡,要么是連接到計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器的外部設(shè)備。 由于這些模塊通常是關(guān)鍵任務(wù)信息技術(shù)基礎(chǔ)設(shè)施的一部分,它們通常是為高可用性而分組的,包括雙電源模塊。

云運(yùn)營商在HSM中保留其主要的項(xiàng)目秘密密鑰,稱為密鑰加密密鑰(KE K),使用PKCS#11協(xié)議通過密碼插件與Barbican進(jìn)行交互。 一個(gè)用于確保存儲、供應(yīng)和管理秘密的RESTAPI,Barbican是一個(gè)Open Stack項(xiàng)目,使用戶能夠構(gòu)建安全的、云準(zhǔn)備的密鑰管理系統(tǒng)。

這些系統(tǒng)允許管理敏感信息,如對稱和非對稱密鑰以及原始秘密。 在HSM中,秘密被加密,然后在檢索時(shí)由特定于項(xiàng)目的KEK解密。 例如,HSM將每個(gè)服務(wù)生成一個(gè)加密密鑰來加密存儲卷。

另一個(gè)Open Stack項(xiàng)目是Keystone,它提供集中式API客戶端身份驗(yàn)證、服務(wù)發(fā)現(xiàn)和分布式多租戶授權(quán)。 keystone在訪問任何其他服務(wù)之前首先對用戶進(jìn)行身份驗(yàn)證。 它還可以使用外部身份驗(yàn)證系統(tǒng),如LDAP或TACACS。 一旦成功認(rèn)證,用戶將獲得包含在服務(wù)請求中的臨時(shí)令牌。 用戶接收服務(wù)訪問當(dāng)且僅當(dāng)令牌被驗(yàn)證并且如果用戶有適當(dāng)?shù)慕巧?.

首先,Barbican驗(yàn)證keystone身份驗(yàn)證令牌以識別用戶和項(xiàng)目訪問或存儲秘密。 然后,它應(yīng)用策略來確定是否授權(quán)訪問。

巴比康用唯一的超鏈接取代敏感信息,如數(shù)據(jù)庫密碼,這些超鏈接被安全地存儲起來,以便以后檢索。 它用HSMS等專用加密設(shè)備加密敏感數(shù)據(jù),以提供更高的安全性。

如前所述,密碼插件用于通過PKCS#11協(xié)議與HSM通信。 此協(xié)議指定一個(gè)API,稱為“Cryptoki”,用于攜帶密碼信息并執(zhí)行技術(shù)無關(guān)的密碼功能的設(shè)備。

基于虛擬機(jī)(VM)或容器的云系統(tǒng)使用體積存儲。 因此,卷加密對于確保VM數(shù)據(jù)和物理存儲介質(zhì)不被攻擊者竊取、泄露和訪問至關(guān)重要。 非加密的VM數(shù)據(jù)會(huì)有攻擊者闖入容量托管平臺并訪問許多不同VM的數(shù)據(jù)的風(fēng)險(xiǎn)。

加密卷功能的目標(biāo)是在VM數(shù)據(jù)寫入卷/存儲(傳輸中的數(shù)據(jù))之前對其進(jìn)行加密,從而在存儲設(shè)備上駐留時(shí)保持?jǐn)?shù)據(jù)保護(hù)(數(shù)據(jù)處于靜止?fàn)顟B(tài))。

隨著telco云N FV服務(wù)的持續(xù)增長,數(shù)據(jù)泄漏的可能性增加,因此需要關(guān)注和適當(dāng)?shù)慕鉀Q方案.. 加密內(nèi)部和外部接口、數(shù)據(jù)和卷、動(dòng)態(tài)密鑰管理等是降低數(shù)據(jù)泄漏和信息竊聽風(fēng)險(xiǎn)的關(guān)鍵步驟。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。